# Suspicious activity

## Описание
Я тут недавно скачал "Ускоритель интренета", но после этого, у меня стали появляться странные сообщения.
Посмотри, пожалуйста, ТУТ ВИРУС!


# WriteUp
Рассмотрев файлик в **Hex** редакторе понимаем, что перед нами исполняемый файл формата **Exe** для платформы **x64**.

Запустив его, видим, что файлик представляется шифровальщиком и просит выкуп за расшифровку.

Откроем его в **Ida**.

Беглым анализом видно, что проверка пароля для расшифровки осуществляется посимвольно в функции **sub_140005B10**, в которой значения сравниваются со строкой **000000014006BC00**. 
В строке видно, что данные зашифрованы.

Анализируя функцию **main**, видно, что шифрование введённых данных осуществляется в функции **sub_140004EC0**, некоторым непонятным алгоритмом шифрование, параметры для которого задаются функцией **sub_140003D20**.

Также, анализируя функцию **main** становится понятно, что начиная с инструкции **0000000140005DAB** происходит заполнение массива, который является одним из параметров шифра, а именно ключом.

Как видим, ключ, зависит от **первых 7 символов **введённого флага. Помня, что флаг начинается с **"RDGCTF{"** формирование ключа не является сложной задачей.

Рассматривая другие блоки файла, можно увидеть функцию **AlgorithmProvider**, в которой лежит строчка **"AESNI"**. 

В связи с чем, можно сделать предположение, что флаг зашифрован одним из алгоритмов семейства **AES**, а вспомнив размер ключа **(16 байт)**, становится понятно, что это **AES128**.

Проанализировав функцию **sub_1400067D0** становится понятно, что это **AES128_CBC_MODE**.

Расшифровываем флаг, используя всю вышеперечисленную информацию.

# Flag

RDGCTF{cu570m_aes_c1ph3r_l1br4ry_0h_my_60d}